Bezbjednosni istraživači otkrili su jednu od najvećih globalnih kampanja sajber-špijunaže do sada, u kojoj su meta bile vladine institucije i kritična infrastruktura širom svijeta — uključujući i Srbiju.
Kampanja, nazvana „Shadow Campaigns“, razotkrivena je od strane istraživačkog tima Unit 42 kompanije Palo Alto Networks. Iza napada stoji napredna hakerska grupa označena kao TGR-STA-1030, poznata i pod nazivom UNC6619, za koju se procjenjuje da djeluje iz Azije.
Napadi u više od 150 zemalja
Prema objavljenom izvještaju, grupa je od januara 2024. godine sprovodila opsežne izviđačke i napadačke operacije u čak 155 zemalja, dok je u najmanje 37 država potvrđena uspješna kompromitacija mreža.
Primarni cilj napada bio je prikupljanje strateških, političkih i ekonomskih obavještajnih podataka. Na meti su se našle ključne državne institucije, uključujući ministarstva spoljnih poslova, odbrane i finansija, organe za sprovođenje zakona, energetski sektor, kao i diplomatska predstavništva.
Srbija među pogođenim evropskim državama
Istraživači potvrđuju da su kompromitovani vladini entiteti u više evropskih zemalja, među kojima su Srbija, Njemačka, Italija, Poljska, Grčka i Češka. Pored Evrope, zabilježeni su ozbiljni incidenti i u Sjedinjenim Američkim Državama, Brazilu, Tajvanu, Australiji, kao i u pojedinim afričkim državama.
Napredne tehnike i novi Linux rootkit
Napadači su koristili kombinaciju ciljanih phishing kampanja i eksploatacije poznatih bezbjednosnih ranjivosti — ukupno 15 propusta u softverima kao što su Microsoft Exchange Server, SAP Solution Manager i Windows operativni sistemi.
Posebnu pažnju stručne javnosti izazvalo je otkriće novog, prilagođenog Linux rootkita nazvanog „ShadowGuard“. Ovaj maliciozni alat koristi naprednu eBPF tehnologiju, omogućavajući mu rad direktno unutar jezgra (kernela) operativnog sistema. Time uspješno prikriva procese i fajlove od standardnih bezbjednosnih alata i sistem administratora, što ga čini izuzetno teškim za detekciju.
Geopolitika kao okidač
Analitičari Unit 42 ističu da su napadi često bili usklađeni sa značajnim geopolitičkim događajima. Tako je, na primjer, intenzivno skeniranje sistema u Hondurasu zabilježeno neposredno pred nacionalne izbore, dok je u SAD primijećen porast aktivnosti tokom perioda privremene obustave rada vlade (tzv. government shutdown).
Preporuke za organizacije
Stručnjaci upozoravaju da sofisticiranost ove kampanje predstavlja ozbiljan rizik za državne i korporativne sisteme. Organizacijama se preporučuje da hitno primijene najnovije bezbjednosne zakrpe, unaprijede nadzor mrežnog saobraćaja i ojačaju interne bezbjednosne procedure kako bi se smanjio rizik od sličnih upada u budućnosti.
(Izvor: B92)
